En este informe de seguridad se ha identificado una vulnerabilidad en el plugin Importar y exportar usuarios y clientes para WordPress. Esta vulnerabilidad permite la modificación no autorizada de datos debido a una comprobación incorrecta de capacidades en la función fire_cron en las versiones hasta, e incluyendo, 1.24.6. Esto hace posible que atacantes no autenticados puedan activar el trabajo cron del plugin.
La falta de autorización en el punto final fire_cron REST del plugin Importar y exportar usuarios y clientes permite a atacantes sin autenticar realizar modificaciones no autorizadas en los datos. Esto puede resultar en la alteración de la información de usuarios y clientes, provocando así un posible acceso no autorizado a cuentas o datos sensibles.
Para subsanar este problema, se recomienda actualizar el plugin a la última versión disponible (superior a 1.24.6). Además, se sugiere restringir el acceso al punto final fire_cron REST sólo a los usuarios autorizados mediante configuraciones adecuadas en el archivo .htaccess o mediante el uso de plugins de seguridad confiables.
Es importante mantener siempre actualizados los plugins utilizados en WordPress y realizar auditorías periódicas de seguridad para detectar posibles vulnerabilidades y asegurar la integridad de los datos y la protección de los usuarios y clientes.
La vulnerabilidad de falta de autorización en el plugin Importar y exportar usuarios y clientes puede ser explotada por atacantes no autenticados para modificar los datos del sitio. Para protegerse, los usuarios deben actualizar el plugin a la última versión, restringir el acceso al punto final fire_cron REST y mantener una buena práctica de seguridad en su instalación de WordPress.